L’EU AI Act è pronto per gli agenti IA?

The EU AI Act vs Agentic AI Risks

12 febbraio 2025 · 6 min di lettura

L’EU AI Act, destinato a essere il primo quadro normativo completo al mondo sull’IA, mira ad affrontare i rischi dei sistemi di IA, inclusi gli agenti IA. Tuttavia, rispetto ai rischi emergenti degli agenti, restano diverse lacune:

  1. Decisione autonoma: l’EU AI Act non copre pienamente i rischi legati alla natura autonoma degli agenti IA. Pur concentrandosi sui sistemi ad alto rischio, non considera in modo specifico la complessità decisionale degli agenti autonomi [1][6].

  2. Esposizione ed esfiltrazione dei dati: gli agenti IA possono accedere e processare grandi volumi di dati, aumentando il rischio di data breach. Il regolamento non affronta adeguatamente questi rischi specifici [2].

  3. Consumo di risorse: gli agenti IA possono consumare molte risorse di sistema, con possibili effetti di denial of service. Il rischio non è coperto esplicitamente [2].

  4. Agent hijacking: la possibilità che attori non autorizzati prendano il controllo degli agenti IA è un rischio rilevante non pienamente trattato [2].

  5. Rischi di supply chain: l’uso di librerie o codice di terze parti introduce rischi di filiera non coperti in modo completo [2].

  6. Divergenza pubblico/privato: l’AI Act applica in alcuni casi regole diverse tra settore pubblico e privato, anche quando le asimmetrie di potere generate dall’IA possono essere analoghe [4].

  7. Requisito di intenzionalità: per alcuni divieti è richiesta l’intenzionalità, lasciando potenziali vuoti rispetto a danni non intenzionali [4].

  8. Portata limitata della vulnerabilità: il focus su età e disabilità fisica/mentale potrebbe non proteggere adeguatamente da manipolazioni fondate su altre caratteristiche tutelate dal diritto UE antidiscriminatorio [4].

  9. Classificazione del rischio incoerente: l’approccio risk-based in alcuni casi colloca sistemi simili in classi diverse senza una giustificazione chiara [4].

  10. Coerenza limitata con il diritto UE esistente: vi sono incoerenze con GDPR ed ePrivacy che possono creare confusione normativa [4][5].

  11. Regolazione limitata degli agenti pienamente autonomi: manca una regolazione specifica per agenti totalmente autonomi con personalità giuridica [8].

  12. Decisione etica: l’AI Act non offre linee guida complete per garantire decisioni degli agenti IA allineate ai valori umani e sociali [6].

Per colmare queste lacune, i policymaker potrebbero aggiornare l’AI Act in modo più mirato per affrontare le sfide specifiche degli agenti IA: autonomia, potenziale abuso e impatti sociali più ampi [6].

Fonti:
[1] https://www.ibm.com/think/topics/eu-ai-act
[2] https://www.computerweekly.com/opinion/Gartner-Mitigating-security-threats-in-AI-agents
[3] https://www.ceps.eu/ceps-publications/the-ai-act-and-emerging-eu-digital-acquis/
[4] https://www.europarl.europa.eu/RegData/etudes/STUD/2022/729507/EPRS_STU(2022)729507_EN.pdf
[5] https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
[6] https://www.weforum.org/stories/2024/12/ai-agents-risks-artificial-intelligence/
[7] https://www.edf-feph.org/publications/eus-ai-act-fails-to-set-gold-standard-for-human-rights/
[8] https://www.linkedin.com/pulse/regulatory-gap-materializes-eus-proposed-ai-act-fully-igor-barshteyn
[9] https://artificialintelligenceact.eu/high-level-summary/
[10] https://www.lumenova.ai/blog/ai-agents-potential-risks/